网络安全测评整改安全整改服务

第一节管理体系整改 2一、策略结构描述 2二、安全制度制定 6三、服务满足指标 7第二节边界访问控制整改 7一、需求分析 7二、服务设计 8三、服务效果 10第三节边界入侵防御整改 14一、需求分析 14二、服务设计 15三、服务效果 19第四节网关防病毒整改 20一、需求分析 20二、服务设计 21三、服务效果 23第五节网络安全检测整改 23一、需求分析 23二、服务设计 25三、服务效果 27第六节网络安全审计整改 29一、需求分析 29二、服务设计 29三、服务效果 37第七节WAF整改服务 42一、需求分析 42二、服务设计 44三、服务效果 45第八节恶意代码防护整改 46一、需求分析 46二、服务设计 48三、服务效果 50第一节管理体系整改一、策略结构描述1.安全制度是指导XX核心业务系统维护管理工作的基本依据，安全管理和维护管理人员必须认真制定的制度，并根据工作实际情况，制定并遵守相应的安全标准、流程和安全制度实施细则，做好安全维护管理工作。2.安全制定的适用范围是XX核心业务系统拥有的、控制和管理的所有信息系统、数据和网络环境，适用于属于XX核心业务系统范围内的所有部门。对人员的适用范围包括所有与XX核心业务系统的各方面相关联的人员，它适用于全部应用XX核心业务系统的相关工作人员，全部XX核心业务系统范围内容的维护人员，集成商，软件开发商，产品提供商，顾问，临时工，商务伙伴和使用XX核心业务系统的其他第三方。3.安全策略体系建立的价值在于：（1）推进信息安全管理体系的建立（2）安全策略和制度体系的建设（3）安全组织体系的建设（4）安全运作体系的建设（5）规范信息安全规划、采购、建设、维护和管理工作，推进信息安全的规范化和制度化建设4.策略结构描述信息安全策略为信息安全提供管理指导和支持。XX核心业务系统应该制定一套清晰的指导方针，并通过在组织内对信息安全策略的发布和保持来证明对信息安全的支持与承诺。策略系列文档结构图：5.最高方针最高方针，纲领性的安全策略主文档，陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则，信息安全各个方面所应遵守的原则方法和指导性策略。与其它部分的关系：所有其它部分都从最高方针引申出来，并遵照最高方针，不与之发生违背和抵触。6.组织机构和人员职责安全管理组织机构和人员的安全职责，包括的安全管理机构组织形式和运作方式，机构和人员的一般责任和具体责任。作为机构和员工具体工作时的具体职责依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。与其它部分的关系：从最高方针中延伸出来，其具体执行和实施由管理规定、技术标准规范、操作流程和用户手册来落实。7.技术标准和规范技术标准和规范，包括各个网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准，不允许发生违背和冲突。与其它部分的关系：向上遵照最高方针，向下延伸到安全操作流程，作为安全操作流程的依据。8.管理制度和规定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。此部分文档较多。与其它部分的关系向上遵照最高方针。向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法，不与之发生违背。9.安全操作流程操作流程，详细规定主要业务应用和事件处理的流程和步骤，和相关注意事项。作为具体工作时的具体依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。与其它部分的关系：向上遵照技术标准和规范、最高方针。10.用户协议用户签署的文档和协议。包括安全管理人员、网络和系统管理员的安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中的遵守安全规定的承诺，也作为安全违背时处罚的依据。与其它部分的关系：（1）向上遵照管理制定和规定、最高方针。（2）需要制定的策略文档（3）本项目中需要制定的策略文档至少覆盖以下方面：①安全方针②安全组织③资产分类及控制④人员安全⑤物理和环境安全⑥通信和运作管理⑦系统访问控制⑧系统开发与维护⑨安全事件处理⑩业务连续性规划⑪符合性二、安全制度制定安全制度的首要问题是需要对安全制度的制定，对于XX核心业务系统公司在安全制度的制定的过程中，考虑如下内容：1.界定安全策略制度的制定权限公司网络与信息安全管理小组负责制定公司层的安全策略，主要包括：公司信息安全体系、公司安全策略框架、公司信息安全方针、公司信息安全体系等级化标准、公司全局性安全技术标准和技术规范、公司全局性安全管理制度和规定、公司安全组织机构和人员职责、公司层全局性用户协议。各部门信息安全组织遵照公司下发的安全策略，结合本部门系统实际情况，制定和细化成适用于本部门的具体管理办法、实施细则和操作规程等，不得与公司的规章制度相抵触，并须报公司信息安全管理部门备案。2.安全策略的制定要求公司安全策略中不得出现公司的涉密信息。对公司安全策略进行汇编时，须保留各安全策略的版本控制信息和密级标识。三、服务满足指标解决方案名称控制类控制点指标名称措施名称改进动作安全制度制定解决方案安全管理制度管理制度a应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；制定安全方针安全制度开发安全制度制定解决方案安全管理制度管理制度b应对安全管理活动中的各类管理内容建立安全管理制度；建立各类安全管理制度安全制度开发安全制度制定解决方案安全管理制度管理制度c应对要求管理人员或操作人员执行的日常管理操作建立操作规程；建立各类操作规程安全制度开发安全制度制定解决方案安全管理制度管理制度d应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。编制制度体系说明文档安全制度开发第二节边界访问控制整改一、需求分析（一）三级系统要求在主要边界处进行访问控制。作为网络安全的基础防护要求，具体需求如下：1.保护服务通过过滤不安全的服务，保证只可访问到允许访问的业务系统，其他访问均被严格控制，可以极大地提高网络安全和减少子网中主机的风险。如：可以禁止NIS、NFS服务通过，可以拒绝源路由和ICMP重定向封包等安全威胁。2.控制对系统的访问提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，允许外部访问特定的Web和FTP服务器。3.记录和统计网络日志记录和统计通过边界的网络通讯，提供关于网络使用的统计数据并对非法访问作记录日志，从设备或专门的日志服务器提供统计数据，来判断可能的攻击和探测，利用日志可以对入侵和非法访问进行跟踪以及事后分析。二、服务设计防火墙技术是目前网络边界保护最有效也是最常见的技术。采用防火墙技术，对重要节点和网段进行边界保护，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，防范各类攻击行为，杜绝越权访问，防止非法攻击，抵御可能的DOS和DDOS攻击。通过合理布局，形成多级的纵深防御体系。设备分别部署在互联网边界、安全设备运维区边界、与安定门月坛门诊专线边界，进行系统内外数据的访问控制，保护系统整体的网络安全；通过边界防火墙将这两个系统内部区域与其他区域进行逻辑隔离，保护上述两个内部安全域，实现基于数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息，执行严格的访问控制。（一）采用防火墙实现以下的安全策略：1.安全域隔离：各边界防火墙以及新增的UTM设备逻辑上隔离了网络各区域，对各个计算环境提供有效的保护；2.访问控制策略：防火墙/UTM工作在不同安全区域之间，对各个安全区域之间流转的数据进行深度分析，依据数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息，进行判断，确定是否存在非法或违规的操作，并进行阻断，从而有效保障了各个重要的计算环境；3.应用控制策略：在防火墙/UTM上执行内容过滤策略，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制，从而提供给系统更精准的安全性；4.会话监控策略：在防火墙/UTM配置会话监控策略，当会话处于非活跃一定时间或会话结束后，防火墙自动将会话丢弃，访问来源必须重新建立会话才能继续访问资源；5.会话限制策略：对于三级信息系统，从维护系统可用性的角度必须限制会话数，来保障服务的有效性，防火墙/UTM可对保护的应用服务器采取会话限制策略，当服务器接受的连接数接近或达到阀值时，防火墙自动阻断其他的访问连接请求，避免服务器接到过多的访问而崩溃；6.地址绑定策略：对于三级系统，必须采取IP+MAC地址绑定技术，从而有效防止地址欺骗攻击，同时采取地址绑定策略后，还应当在各个三级计算环境的交换机上绑定MAC，防止攻击者私自将终端设备接入三级计算环境进行破坏；7.身份认证策略：配置防火墙/UTM用户认证功能，对保护的应用系统可采取身份认证的方式（包括用户名/口令方式、S/KEY方式等），实现基于用户的访问控制；此外，防火墙还能够和第三方认证技术结合起来，实现网络层面的身份认证，进一步提升系统的安全性，同时也满足三级系统对网络访问控制的要求；8.日志审计策略：防火墙/UTM详细记录了转发的访问数据包，可提供给网络管理人员进行分析。这里应当将防火墙记录日志统一导入到集中的日志管理服务器。三、服务效果通过将防火墙部署在不同安全域之间。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在网络中部署防火墙后，可以保护内部网络免受非法访问、攻击和病毒的侵扰。把面向服务的主机放置在一个集中、受控的安全区环境下，通过防火墙监控网络流量、关闭不必要的服务，还可以通过防火墙严格限制进出网络的流量。防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，防火墙允许外部访问特定的Web和FTP服务器；防火墙可以保护脆弱的服务，如防火墙可以禁止NIS、NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包等安全威胁；防火墙可以对网络系统实现集中的安全管理，在防火墙上定义的安全规则可以运用于整个网络系统，而无须在网络内部每台机器上分别设立安全策略，如在防火墙可以定义不同的用户，而不需在每台机器上分别定义；防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据并对非法访问作记录日志，从防火墙或专门的日志服务器提供统计数据，来判断可能的攻击和探测，利用日志可以对入侵和非法访问进行跟踪以及事后分析等等。根据客户的实际情况，部署防火墙的主要作用如下：1.网络安全的基础屏障：防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的协议(如NFS)进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。2.对网络存取和访问进行监控审计如果所有的访问都经过防火墙，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。3.防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些能够透漏内部细节的服务，如Finger，DNS等服务。解决方案名称控制类控制点指标名称措施名称改进动作改进对象边界访问控制

综合安全防护网络安全访问控制a应在网络边界部署访问控制设备，启用访问控制功能；采购和部署访问控制设备采购部署访问控制系统边界访问控制

综合安全防护网络安全访问控制b应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；配置端口访问控制配置访问控制设备访问控制系统边界访问控制

综合安全防护网络安全访问控制c应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；配置协议过滤配置访问控制设备访问控制系统边界访问控制

综合安全防护网络安全访问控制d应在会话处于非活跃一定时间或会话结束后终止网络连接；配置会话中止功能配置访问控制设备访问控制系统边界访问控制

综合安全防护网络安全访问控制e应限制网络最大流量数及网络连接数；配置最大流量与连接数配置访问控制设备访问控制系统边界访问控制

综合安全防护网络安全访问控制f重要网段应采取技术手段防止地址欺骗；配置防地址欺骗配置访问控制设备访问控制系统边界访问控制

综合安全防护网络安全访问控制g应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；配置用户访问控制配置访问控制设备访问控制系统边界访问控制

综合安全防护网络安全访问控制h应限制具有拨号访问权限的用户数量。配置限制拨号访问权限配置访问控制设备访问控制系统第三节边界入侵防御整改一、需求分析在区域边界，防火墙起到了协议过滤的主要作用，根据安全策略在偏重在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为，防火墙并不擅长处理应用层数据。各种混合攻击多借助病毒的传播方式进行，成为黑客的攻击和入侵手段。在本项目规划中，各业务服务器区承载的HIS、EMR等核心应用，承载着最为重要的业务系统和数据，由于保存有核心信息资产，是最容易成为入侵目标的部分，可能遇到来自于内网的攻击威胁。随着移动式设备如电脑笔记本、PDA的普及，来自于内网的攻击威胁也随之增加。对于提供重要数据服务的服务器群组仍有可能遭受到来自内网的攻击威胁，通常防火墙并不具备完整全面的内容检测能力，因此必须建立一套更完整的安全防护体系，进行多层次、多手段的检测和防护。鉴于以上分析，需要其他具备检测新型的混合攻击和防护的能力的设备防御来自应用层到网络层的多种攻击类型，进行多层次、多手段的检测和防护。三级系统也对入侵防范提出了明确的要求。入侵防护是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。二、服务设计通过需求分析，我们建议在业务服务器区边界冗余部署IPS入侵防御系统设备，取代原有防火墙，保护核心信息资产。入侵防御系统是新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能，动态异常流量管理和七层应用行为识别等功能，同时配合零时差更新的特征库和自定义检测特征功能，可检测阻断各种网络攻击行为，阻断各类恶意代码进行渗透。包括：病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等。IPS具备以下功能：1.访问控制功能IPS支持基于网络接口、IP地址、服务、时间等参数自定义访问控制规则，以保证网络资源不被非法使用和非法访问。2.阻止蠕虫扩散蠕虫(worm)与一般的档案型病毒(virus)不同之处，在于蠕虫具备快速自我复制扩散的功能。而蠕虫之所以能够快速将自我扩散到其它系统，是因为蠕虫具备自动利用系统漏洞而入侵的能力。每当计算机的系统漏洞被公布，在短时间内便会有黑客组织在网络上发布针对新漏洞的攻击程序，接着便会有针对该漏洞的攻击程序在网络上流传，此时蠕虫作者便将这些已发布的攻击程序纳入其蠕虫程序的主体中，然后再散布新的蠕虫对外大量扩散。从漏洞公布到蠕虫产生所需的时间已大幅缩减，这让用户无法有充裕的时间测试系统厂商所发布的补丁程序。蠕虫由于是通过网络自我扩散，因此又称为网络型病毒。IPS实现了阻止已知和未知蠕虫的扩散。3.阻止已知蠕虫扩散针对已知蠕虫通过扫描存在漏洞的主机来进行扩散，IPS内建完善的对ZotobWorm、MSSQLSlammerWorm等蠕虫的控制攻击特征识别码，可以检测蠕虫企图扫描漏洞主机的行为，并进而拦阻丢弃其恶意数据包。4.阻止未知蠕虫扩散针对未知蠕虫通过扫描存在漏洞的主机来进行扩散，在及时跟踪着各种最新发布的漏洞，为相应漏洞及时构建攻击识别码，当发现蠕虫尝试利用这些漏洞来入侵时会立即拦阻丢弃尝试入侵的数据包，阻止蠕虫扩散。5.阻止漏洞攻击在系统程序开发的过程中，常因为程序开发者疏于程序安全性，而导致开发出有系统漏洞的操作系统或应用程序。这类系统的漏洞经常是发生在程序没有对外界输入的参数长度进行检查，而发生所谓的缓冲区溢出攻击(bufferoverflowattack)。当缓冲溢出区攻击发生时，轻则导致系统没有响应、死机，成功的缓冲区溢出攻击还可以让黑客获得整个系统控制权！针对黑客入侵，IPS采用具备基于协议异常、会话状态识别和七层应用行为等攻击识别功能。并且可针对Windows、Unix、Linux等操作系统漏洞的攻击进行阻止，漏洞类型包括了StackandHeapBufferoverflow、Formatstringerror、Memoryaccesserror、Memorycorruption、AccesscontrolandDesignweakness等等。6.阻止木马传播IPS在阻止木马传播上有以下特点：（1）可检测基于ActiveX、XML、VML、MDAC等的漏洞，可阻止访问者在浏览网站时被诱使植入木马的攻击；（2）可检测利用Dropper技术隐藏木马的MicrosoftOffice文件，可阻止下载并启动这些文档；如Rootkit的木马，它们被黑客植入系统后也会跟外界通讯或进行扫描等，IPS可以侦测这些特殊的行为，如TFN、Trin00、Stacheldraht、Phatbot、Netbus、Evilbot等跟外界通讯行为，以及TCP、UDPscan或ICMPprobing等行为；具有丰富的漏洞特征库可以实现对木马的精准拦截。7.阻止间谍软件大部分间谍软件由于是通过广告、浏览器漏洞、自订功能如ActiveX插件来诱使不够小心谨慎的用户安装的。IPS内置如Gator、180solutions、InternetOptimizerSpyware等相关的特征，通过检测下载可执行程序、ActiveX、Javaapplet等可疑的活动，实现阻止间谍软件通过广告、浏览器漏洞、自定义ActiveX插件等渠道实现安装。8.抗DoS/DDoS传统的网络安全设备仅具有单纯地设定单位时间内访问特定服务次数，来阻断未知类型的DoS/DDoS攻击。这种机制虽然可以将超过阈值的攻击数据包丢弃，但同时也会将超过阈值的合法数据包丢弃，造成正常用户不能使用网络服务。IPS对于需要重点保护的Web、DNS等服务可选择采取传统的处理机制。另外，IPS提供独特的DoS/DDoS检测及预防机制，可以辨别合法数据包以及DoS/DDoS攻击数据包，支持双向阻断TCP/UDP/IGMP/ICMP/IPFlooding、UDP/ICMPSmurfing等类型的DoS/DDoS攻击，可检测的DoS/DDoS攻击软件包括XDoS、SUPERDDoS、FATBOY等50种以上。三、服务效果通过IPS入侵防御系统的部署，能够为XX单位核心业务系统提供全面的安全防护：1.缓冲区溢出攻击的防范缓冲区溢出漏洞主要来自系统和应用软件存在的bug，攻击者利用这些漏洞可以获得系统的管理权限，大部分蠕虫病毒的传播也主要利用了缓冲区溢出漏洞。当前网络攻击的一个非常大的特点是从漏洞信息发布到第一个攻击工具出现的周期越来越短，而厂商发布补丁不及时，给攻击者留下了充足的时间进行攻击。针对这一问题，入侵防护系统可提供“虚拟补丁”技术，及时跟踪网络中各种系统、软件存在的bug，并在第一时间提供检测特征码，为用户网络提供一个虚拟的安全补丁，防范大部分的0day攻击。2.Web应用攻击的防范入侵防护系统提供了Web攻击特征组，对Web应用软件、应用系统存在的漏洞，如：IISUNICODE漏洞、二次解码漏洞以及各种CGI、SQL注入、跨站脚本等攻击进行有针对性的防护。3.SQL注入/XSS跨站脚本攻击的防范SQL注入和XSS之所以会成为最流行的Web攻击，是因为其攻击的目标是用户的应用程序，所利用的漏洞来自用户编码而非操作系统或应用平台，因此它的位置和表现形式十分复杂，且能提取的特征信息往往很短，难以使用简单的签名匹配技术进行完整高效的检测、防范。第四节网关防病毒整改一、需求分析现今，病毒的发展呈现出以下趋势：病毒与黑客程序相结合、蠕虫病毒更加泛滥、病毒破坏性更大、制作病毒的方法更简单、病毒传播速度更快，传播渠道更多、病毒感染对象越来越广。一旦有主机感染病毒，病毒可能主动的对整个内部网络中所有主机进行探测，一旦发现漏洞主机，将自动传播。整个探测过程会极大的消耗网络的带宽资源，并且可能造成病毒由办公终端安全域传播到其他重要的业务服务安全域和管理安全域中，引发攻击和破坏行为。因此，一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案，以抵御来自黑客和病毒的威胁。斩断传播途径是防止传染病爆发最为有效的手段之一，而这种防治手段不仅在传染病防治方面十分有效，在防止计算机病毒扩散方面起到了同样的效果。目前计算机病毒的传播途径与过去相比已经发生了本质的变化，因此为了安全的防护手段也需以变应变。蠕虫病毒产生以前，计算机病毒主要是以软盘这样的移动存储介质传播的；自蠕虫病毒出现之后，网络（包括Internet、广域网、局域网）则取代了移动存储介质的位置。在网络传播途径中，又以邮件自动转发的传播形式所占比重最大，因此迫切需要网关型产品在网络层面对病毒予以查杀。二、服务设计在互联网边界防火墙设备之后部署AV防病毒网关，对夹杂在网络交换数据中的各类网络病毒进行过滤，可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从其他区域传播到内部其他安全域中。AV设备的部署截断了病毒通过网络传播的途径，净化了网络流量。1.病毒过滤策略：病毒过滤网关对SMTP、POP3、IMAP、HTTP和FTP等应用协议进行病毒扫描和过滤，通过恶意代码特征过滤，对病毒、木马、蠕虫以及移动代码进行过滤、清除和隔离，有效地防止可能的病毒威胁，将病毒阻断在敏感数据处理区域之外；2.恶意代码防护策略：病毒过滤网关支持对数据内容进行检查，可以采用关键字过滤，URL过滤等方式来阻止非法数据进入敏感数据处理区域，同时支持对Java等小程序进行过滤等，防止可能的恶意代码进入敏感数据处理区；此外，防火墙也支持对移动代码如Vbscript、JAVAscript、ActiveX、Applet的过滤，能够防范利用上述代码编写的恶意脚本。3.蠕虫防范策略：病毒过滤网关可以实时检测到日益泛滥的蠕虫攻击，并对其进行实时阻断，从而有效防止信息网络因遭受蠕虫攻击而陷于瘫痪。4.病毒库升级策略：病毒过滤网关支持自动和手动两种升级方式，在自动方式下，系统可自动到互联网上的厂家网站搜索最新的病毒库和病毒引擎，进行及时的升级。5.日志策略：防病毒网关提供完整的病毒日志、访问日志和系统日志等记录，这些记录能够被部署在三级计算环境中的日志审计系统所收集。部署的AV网关应特别注意设备性能，产品必须具备良好的体系架构保证性能，能够灵活的进行网络部署。同时为使得达到最佳防毒效果，病毒网关设备和桌面防病毒软件应为不同的厂家产品，两类病毒防护产品共同组成立体病毒防护体系。三、服务效果AV网关的病毒过滤针对标准协议，与应用无关。如利用邮件传播病毒，无论用户使用何种Email服务器和客户端，只要使用的是标准的SMTP、POP3、IMAP协议，都可以对电子邮件中的病毒进行过滤，防止病毒通过邮件传播。AV网关还支持HTTP协议和FTP协议，对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。在支持协议的全面性上走在了业界的前方。对于使用非标准端口的协议应用同样可以对其中的病毒进行过滤。对于既包含正常部分，又含有病毒代码的流量，则AV网关会将病毒代码过滤掉，正常部分仍然会继续传输，这样便可有效防止信息的丢失。“干净”的正文仍然会正确的发送到收件人的邮箱里，不会因为病毒扫描导致信件的丢失。为能达到最好的防护效果，病毒库的及时升级至最新版本至关重要。应对病毒库升级进行准确配置。保证及时的更新病毒库。第五节网络安全检测整改一、需求分析利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险，但是入侵者可寻找防火墙背后可能敞开的后门，或者入侵者也可能就在防火墙内。通过部署安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，能防御针对操作系统漏洞的攻击，能够实现应用层的安全防护，保护核心信息资产的免受攻击危害。针对网络的具体情况和行业特点，我们得到的入侵检测的需求包括以下几个方面：1.入侵检测要求能够对攻击行为进行检测，是对入侵检测设备的核心需求，要求可以检测的种类包括：基于特征的检测、异常行为检测（包括针对各种服务器的攻击等）、可移动存储设备检测等等。2.自身安全性要求作为网络安全设备，入侵检测系统必须具有很高的安全性，配置文件需要加密保存，管理台和探测器之间的通讯必须采用加密的方式，探测器要可以去除协议栈，并且能够抵抗各种攻击。3.日志审计要求系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表，反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息，使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择，定制不同形式的报表。4.实时响应要求当入侵检测报警系统发现网络入侵和内部的违规操作时，将针对预先设置的规则，对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警，用以提醒管理人员及时发现问题，并采取有效措施，控制事态发展。报警信息要分为不同的级别：对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外，必须在基于规则和相应的报警条件下，对不恰当的网络流量进行拦截。5.联动要求入侵检测系统必须能够与防火墙实现安全联动，当入侵检测系统发现攻击行为时，能够及时通知防火墙，防火墙根据入侵检测发送来的消息，动态生成安全规则，将可疑主机阻挡在网络之外，实现动态的防护体系！进一步提升网络的安全性。二、服务设计在核心交换机处分别并接部署IDS入侵检测系统，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录等。IDS执行以下安全策略：1.网络检测策略：在检测过程中入侵检测系统综合运用多种检测手段，在检测的各个部分使用合适的检测方式，采取基于特征和基于行为的检测，对数据包的特征进行分析，有效发现网络中异常的访问行为和数据包；2.安全联动策略：与防火墙安全联动策略类似，通过安全联动策略，使防火墙能够与入侵检测系统进行联动，当入侵检测系统发现攻击行为时，及时通知防火墙，防火墙在接收到信息后动态生成安全规则，将攻击来源进行阻断，从而形成动态的防护体系；3.监控管理策略：入侵检测系统提供人性化的控制台，提供初次安装探测器向导、探测器高级配置向导、报表定制向导等，易于用户使用。一站式管理结构，简化了配置流程。强大的日志报表功能，用户可定制查询和报表。4.异常报警策略：入侵检测系统通过报警类型的制定，明确哪类事件，通过什么样的方式，进行报警，可以选择的包括声音、电子邮件、消息以及与防火墙联动。5.特征库升级策略：入侵检测系统内置的检测库是决定系统检测能力的关键因素，因此必须进行定期的升级，由于证件管理信息系统与互联网物理隔离，因此必须采用手工升级的办法进行。6.日志集中设计：入侵检测系统详细记录了网络中转发的各类访问，对于分析网络的运行状态起着非常重要的作用，因此需要将这些记录统一汇总到日志审计中心。三、服务效果网络入侵检测系统通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。入侵检测系统可以监视并记录网络中的所有访问行为和操作，有效防止非法操作和恶意攻击。同时，入侵检测系统还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。需要说明的是，IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充。入侵检测系统作为网络安全体系的第二道防线，对在防火墙系统阻断攻击失败时，可以最大限度地减少相应的损失。IDS也可以与防火墙、内网安全管理等安全产品进行联动，实现动态的安全维护。入侵检测系统解决的安全问题包括：1.对抗蠕虫病毒：针对蠕虫病毒利用网络传播速度快，范围广的特点，给用户网络的正常运转带来极大的威胁，通过防火墙端口过滤，可以从一定程度上防范蠕虫病毒，但不是最好的解决方案，特别是针对利用防火墙已开放端口（比如红色代码利用TCP80）进行传播的蠕虫病毒，对此需要利用入侵检测系统进行进一步细化检测和控制；2.防范网络攻击事件：正如入侵检测系统的安全策略中描述的，针对各业务区域和网络边界区域，入侵检测系统采用细粒度检测技术，协议分析技术，误用检测技术，协议异常检测，可有效防止各种攻击和欺骗。并且还能够通过策略编辑器中的用户自定义功能定制针对网络中各种TCP/IP协议的网络事件监控；3.防范拒绝服务攻击：入侵检测系统在防火墙进行边界防范的基础上，能够应付各种SNA类型和应用层的强力攻击行为,包括消耗目的端各种资源如网络带宽、系统性能等攻击。主要防范的攻击类型有TCPFlood，UDPFlood，PingAbuse等；4.防范预探测攻击：部署在总部中心区域和网络边界区域的入侵检测系统，能够很好的防范各种SNA类型和应用层的预探测攻击行为。主要防范的攻击类型有TCPSYNScan，TCPACKScan，PingSweep，TCPFINScan等；5.防范欺骗攻击：有些攻击能够自动寻找系统所开放的端口（比如安全服务区所开放的TCP80、TCP25），将自己伪装成该端口，从而绕过部署在数据中心区域和网络边界区域边界的防火墙，对防火墙保护的服务器进行攻击，而入侵检测系统则通过对应用协议的进一步分析，能够识别伪装行为，并对此类攻击行为进行阻断或报警；6.防范内部攻击：对于总部局域网而言，内部员工自身对网络拥有相当的访问权限，因此对比外部攻击者，对资产发起攻击的成功概率更高。虽然总部局域网在网络边界部署防火墙，防范外部攻击者渗透到网络中，但是对内部员工的控制规则是相对宽松的，入侵检测系统通过对访问数据包的细化检测，在防火墙边界防护的基础上，更好地发觉内部员工的攻击行为。第六节网络安全审计整改一、需求分析信息系统的快速发展和网络安全管理问题的矛盾日益凸现。如何有效监控XX单位核心业务系统网络资源的使用和敏感信息的传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，是本次建设迫切需要解决的问题。二、服务设计网络安全审计系统主要用于监视并记录网络中的各类操作，侦察系统中存在的现有和潜在的威胁，实时地综合分析出网络中发生的安全事件，包括各种外部事件和内部事件。本次设计两类审计，第一是互联网行为审计，用于审计内部用户的上网行为；第二是数据库审计，对所有数据库的访问操作行为进行审计，特别是在XX的防统方领域，数据库审计可用于网络取证。网络的数据采集有基于旁路监听、基于网关/网桥、或在被监控机器中安装AGENT三种方式。其中基于网关/网桥的设备需要改变原有网络结构，接入设备有可能会成为整个网络的单点故障点。而在被监控机器中安装AGENT的方法也会增加被监控主机的不稳定性，并且会占用一定的机器资源，减慢被监控机器的运行速度，同时布署升级等的维护工作量也很大。基于旁路监听的技术，安装后完全不影响原有的网络运行，也不会成为单点故障，而且布署极为方便，只要简单地安装在网络口的交换机镜象口或是共享HUB上。因此在网络的核心交换机处并接部署网络审计系统，部署方式类似入侵检测系统（IDS），形成对全网网络数据的流量监测并进行相应安全审计，同时和其它网络安全设备共同为集中安全管理提供监控数据用于分析及检测。1.部署的审计系统实现以下策略：（1）日志集中管理策略：收集信息系统中各种网络设备、系统的日志信息，包括设备运行状况、网络流量、用户行为等信息，进行统一集中存储。（2）审计分析集中展示策略：提供多样、灵活的日志信息查询，包括，事件的日期和时间、用户、事件类型、事件结果等条件进行查询，并把不同设备及平台的事件关联起来，帮助管理员实现更加全面、深入的分析事件。支持将事件进行详尽的分析及统计的基础上支持丰富的报表，实现分析结果的可视化。（3）多种网络设备的日志收集：系统全面支持安全设备（如防火墙，IDS、AV等）、网络设备（如router、switch）等多种产品及系统的日志数据的采集和分析。（4）自身安全策略：用户分级管理，严格限制各级用户的管理权限，同时对超级用户数量进行限制，密码采用强密码机制，避免管理用户的职权滥用。设置数据库的备份策略，定期备份导出数据，并且进行数据库上限及报警上限，避免数据库信息的不预期删除、覆盖和修改。2.部署的网络安全审计产品需具备以下功能：（1）网络行为审计网络审计系统系统能够全面详实地记录网络内流经监听出口的各种网络行为，并根据国家有关法规规定保存至少60天，以便进行事后的审计和分析。日志以加密的方式存放，只有管理者才能调阅读取。网络行为日志全面地记录了包括使用者、分组、访问时间、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、访问类型、访问地址/标识等关键数据项。支持在三层交换网络环境下获取用户计算机真实MAC地址功能；支持GRE(通用路由协议封装）和MPLS（Multi-ProtocolLabelSwitching，多协议标签交换）两种协议及其应用环境下的网络数据审计还原。主要包括以下类型的协议和应用：（2）网络内容审计针对互联网上流行的可还原协议，网络审计系统系统能够在记录网络内流经监听出口的各种网络行为产生的具体内容，包括正文、文件等信息，并根据国家有关法规规定保存至少60天，以便进行事后的审计和分析，我们称这个范畴的审计功能为内容审计。内容审计既能够无条件记录，又能通过策略指定访问者（IP地址/帐号/分组）、时间范围、内容关键字等条件下进行有条件的记录管理用户需要的访问内容。主要包括以下类型的协议和应用：（3）标准电子邮件标准电子邮件是指POP3/SMTP两个使用最广泛的收发邮件协议。系统将详细记录访问者（IP地址/机器名/帐号）、目标IP地址、邮件时间、发件人、收件人、正文、附件等信息，并提供附件下载备份功能。（4）网页浏览网页浏览是指基于HTTP协议的GET请求产生的查看网页内容。系统将详细记录访问者（IP地址/机器名/帐号）、目标IP地址、访问时间、网页URL、网页详细内容等信息，并提供模拟访问的功能以达到还原后的仿真浏览。支持对google,baidu,sogou,soso等常见搜索引擎的搜索关键字记录，并具备良好的扩展能力，支持用户自定义其它搜索引擎。（5）文件传输文件传输是指基于FTP协议的文件传输、下载及其命令操作。系统将详细记录访问者（IP地址/机器名/帐号）、目标IP地址、访问时间、FTP帐号、FTP交互命令和执行回显等信息，对FTP交互过程中发生的上传和下载文件操作，系统也将涉及的文件全部还原并提供下载备份功能。（6）即时聊天目前能够捕获还原详细内容的即时聊天工具包括MSN（WindowsLiveMessenger）、YahooMessenger、中国移动飞信等。系统将详细记录访问者（IP地址/机器名/帐号）、目标IP地址、访问时间、聊天帐号、详细聊天内容等数据，并将聊天内容按次分组保存和展示。（7）网页外发数据网页外发数据是指基于HTTP协议的POST请求向外部的互联网站发布信息。由于HTTP的POST应用非常灵活，往往被用来实现多种应用，因此对网页外发数据的处理有其特殊性。网络审计系统系统使用了独有的表单特征匹配技术框架，摒弃了传统的逐个WEB网站分析方式，突破了逐个分析方式带来的有效网站数量限制，可以准确分析出100%的POST外发信息和文件，对WEBMAIL、网页论坛等应用方式的识别率高达95%以上。系统针对应用HTTP-POST最为广泛的WEBMAIL、网页论坛、网页聊天、网页登录进行了应用方式识别并将其分类展示，对不能识别的其它POST应用则全部归类到“网页提交”中进行展示。系统记录的主要数据包括访问者（IP地址/机器名/帐号）、目标IP地址、URL地址、访问时间、外发文本内容、外发文件等数据，并提供外发文件的下载备份功能。（8）网络行为控制对于多数企事业单位而言，如何通过有效的技术手段实现对单位职员上网行为进行规范的管理和控制是一个非常有意义的课题。网络审计系统系统提供了丰富的网络行为控制功能，以协助管理者实现上述目标。（9）全局控制策略对局域网内的所有机器生效的互联网访问权限控制。可设置是否允许访问包含色情、暴力、毒品等的不良站点；是否允许使用MSN、YahooMessenger、QQ、ICQ、网易泡泡、GoogleTalk、Skype等国内外流行的十多种即时通信工具；是否可以进行QQ游戏、中游、联众、远航、浩方、茶苑、CS、魔兽等国内外流行的二十多种在线网络游戏；是否允许使用P2P下载；是否可以使用Google、百度等常用搜索引擎搜索指定的关键字；是否允许使用指定的WEBMAIL；是否允许进行QQLive、PPLive等在线音视频；对指定的邮件服务器（POP3/SMTP）实施只开放或只封堵的策略。（10）局部分组控制策略对指定的局域网内局部机器生效的互联网访问权限控制。可根据人员帐号、机器、机器组对不同的时间段设置对各类标准应用协议、各类网站、网络在线游戏、即时通讯工具、P2P下载、指定流量限制、邮件、网页文件下载等协议和应用的控制。具体支持的协议种类如前所述。（11）黑白名单机器黑白名单：对于被设为黑名单的机器，系统将无条件禁止其与互联网的一切通讯。对于被设为白名单的机器，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录。站点黑白名单：对于被设为黑名单的站点，则互联网内的所有机器（白名单机器除外）都不能访问此站点。对于被设为白名单的站点，则互联网内的所有机器（黑名单机器除外）都可以访问此站点。日志白名单：对于被设为日志白名单的机器，其网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，并且不记录网络日志。并且支持客户端使用免审计USBKEY实现特权人物的审计豁免。帐号黑白名单：在帐号控制模式下应用，对于被设为黑名单的帐号，系统将无条件禁止其与互联网的一切通讯。对于被设为白名单的帐号，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录。基于帐号的控制可有效避免动态IP地址环境或IP人为变更造成的网络控制漏洞。（12）数据库审计支持对MS-SQLSERVER、ORACLE等主流关系型数据库的远程访问和操作信息的审计记录；可实现命令及过程级的审计：可审计数据库用户登录事件，并记录用户帐号信息；可实现对数据库的查询、创建、插入、删除、更新等常规数据库操作过程的审计，可还原用户操作过程；可实现数据库特权操作(如权限更改、备份与恢复等)的审计，可还原操作过程。（13）运维操作审计支持对Windows远程桌面操作的审计，可记录访问者和被访问者的IP/MAC地址，访问时间等信息；支持Telnet远程登录操作的审计，可实现命令及过程级的审计，可记录用户名、密码及整个操作过程。①网络流量分析网络审计系统系统的网络流量分析是在全面记录网络出口流量数据的基础之上，以简单、直观、易理解的形式为用户提供实时和历史流量监测和统计功能。主要包括：②实时流量以折线图展示全局、组、机器/帐号的实时流量趋势；以动态柱状图展示指定范围内的实时流量排名；以数据表结合饼图的形式展示指定对象的流量协议结构。③当日流量系统以图表或表格的方式显示当天所有机器的流入流量和流出流量，并按总量大小排序。可选择任意一个对象，并查看当天累计流量及各种协议端口（可自定义）的流量。④历史流量系统将记录每天的流量统计数据，并可以日，周，月等进行排名，产生排名报表。可以根据历史流量记录，形成流量增长或减少的趋势图。可以根据历史流量记录，形成各协议的使用状况图。⑤自定义协议针对一些特殊应用，用户可以自己定义协议名称、类型和端口，系统将按照自定义协议参数进行统计与记录。⑥统计报表分析根据历史上网日志数据统计产生丰富详细的报表，包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析、自定义报表等。可按年度、月度或者指定时间范围生成周期性报表。报表种类包括柱状图，饼图，曲线图，折线图等。报表可以以EXCEL、PDF、WORD、HTML等形式导出保存。并支持自定义的周期性报表自动生成和订阅。⑦系统管理与配置为了保障系统正常、稳定、有效、安全地运行，网络审计系统系统本身的管理设置和附加功能必不可少。其主要作用在于为系统提供符合网络环境要求的基础性参数设置、为系统提供足够的访问管理权限安全保障、为一些故障判断提供辅助工具等。包括但不限于：IP地址位置查询、网络诊断工具、自定义站点分类、角色与权限管理、连接管理中心参数设置、产品升级、远程维护开关等。三、服务效果网络审计系统将独立的网络传感器硬件组件连接到网络中的数据会聚点设备上，对网络中的数据包进行分析、匹配、统计，通过特定的协议算法，从而实现入侵检测、信息还原等网络审计功能，根据记录生成详细的审计报表。网络行为监控和审计系统采用旁路技术，不用在目标主机中安装任何组件。同时网络审计系统可以与其它网络安全设备进行联动，将各自的监控记录送往安全管理安全域中的安全管理服务器，集中对网络异常、攻击和病毒进行分析和检测。1.产品实施后可以做到：广泛支持各种网络应用网络审计系统支持全面的行为审计、内容审计及行为控制功能，同时支持数据库审计、运维操作审计功能，广泛支持目前常见的各种网络应用：对于常用的HTTP协议，除支持网页浏览（HTTPGET）审计外还全面支持各种网页提交（HTTPPOST）类应用的审计，其中POST应用可细分为WEBMAIL、WEBBBS、WEBCHAT（聊天）、WEB登录等上网行为，对基于HTTPS加密协议的网页浏览行为也将记录除域名地址之外的所有关键数据；除常用的网页浏览和电子邮件应用外全面支持当前常见网络应用的审计包括：文件传输、即时通讯、P2P下载、流媒体、在线游戏、财经证券等应用；在旁路部署模式下可实现较强的网络行为控制功能，包括对网页浏览、电子邮件服务器、即时通讯、P2P下载、流媒体、在线游戏等应用的控制。2.深度细粒审计管理网络审计产品能够全面详实地记录网络内流经监听出口的各种网络行为，支持关于上网行为、内容、时间、用户等多种条件组合的信息审计策略和日志分析，全面监测各种网络行为，进行深度细粒审计。内容审计既能进行无条件记录，又能通过策略指定访问者（IP地址/帐号/分组）、时间范围、内容关键字等有针对条件的记录管理用户需要的访问内容。不管是行为审计还是内容审计，都具备高度的灵活性、专业性和准确性，能够为管理机构进行事后追查、取证分析提供有力技术支撑。3.灵活的黑白名单设置为了使审计策略更加灵活、精准，网络审计系统采用了黑白名单的机制，大大降低了审计策略的复杂程度，同时也减轻了管理人员的工作量。系统支持的黑白名单包括：机器黑白名单：对于被设为黑名单的机器，系统将无条件禁止其与互联网的一切通讯。对于被设为白名单的机器，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录。站点黑白名单：对于被设为黑名单的站点，则网内的所有机器（白名单机器除外）都不能访问此站点。对于被设为白名单的站点，则网内的所有机器（黑名单机器除外）都可以访问此站点。日志白名单：对于被设为日志白名单的机器，其网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，并且不记录网络日志。并且支持客户端使用免审计USBKEY实现特权人物的审计豁免。帐号黑白名单：在帐号控制模式下应用，对于被设为黑名单的帐号，系统将无条件禁止其与互联网的一切通讯。对于被设为白名单的帐号，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录。基于帐号的控制可有效避免动态IP地址环境或IP人为变更造成的网络控制漏洞。4.丰富直观的报表系统根据历史审计日志数据进行统计可产生丰富详细和直观的报表，包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析、自定义报表等。能够从上网对象、时间、分类、目标等多个维度对网络活动进行查询分析，并以柱状图，饼图，曲线图，折线图等形式来体现排名、结构、趋势等上网概况，使管理者对所掌握的数据有清晰直观的认识。报表可以以EXCEL、PDF、WORD、HTML等形式导出保存，并支持自定义的周期性报表自动生成和订阅。5.先进的多路捕包技术，四路同时捕包网络审计系统采用业界领先的多路并行捕包技术，单台设备最多支持高达4路数据的并行捕获与分析，为在复杂环境下的灵活部署提供先进的技术保障也提高了审计数据的准确度；并且系统还可以与其他安全设备进行集成，支持从其他安全设备直接获取审计数据，增加了审计数据来源，使得部署更加灵活，而且进一步特好了审计结果的准确性。6.部署灵活，支持分布式部署网络审计系统采用旁路部署方式，全面支持电口镜像与分路、光口的镜像与分光等多种线路部署方式，在复杂网络环境下的部署游刃有余，运用自如。对于单台设备无法处理的超大流量环境或含有分支机构的分布式环境，系统支持高扩展性的多台设备分布式部署方案，通过多台设备对超大的流量或各分支机构分而治之，又由统一的管理平台实现对整个网络的透明、统一的管理。7.多层面自身安全防护（1）系统级安全防护在对操作系统内核进行充分剖析的基础上，在操作系统级对系统各支撑引擎进行了修改和全面优化定制，全面防止攻击与劫持，提升系统整体性能的同时保障自身系统级安全。（2）操作级安全防护多权分离，针对各种不同性质的功能模块可灵活配置权限级别；管理员登陆时支持USBKEY+账号/口令方式的双因子认证功能，支持管理员登陆地址限制，并且管理员账户口令的认证支持基于Radius协议的集中身份认证。（3）数据级安全防护采用自主的高效算法对关键审计数据的存储和传输进行加密防护，数据存储防篡改，数据传输防破解，多种加密防护措施保障自身数据级安全。（4）网络级安全防护旁路部署保障对网络性能完全没有影响，保证网络无单点故障，优先保障用户网络级安全，是上网机构在内网和互联网安全监管和保密资格测评过程中最可信赖的安全工具。第七节WAF整改服务一、需求分析随着B/S模式应用开发的发展，Web平台承载了越来越多的核心业务，Web的开放性给工作方式带来了高效、方便的同时也使业务重要信息完全暴露在危险中。Web应用的威胁主要来自于以下几个部分：1.Web网站早期开发者安全意识薄弱Web应用程序和服务的增长已超越了当初程序开发人员所接受的安全培训和安全意识的范围，给攻击者留下大量可乘之机。有些已运行的WEB应用系统由于难以更改、或更改成本过高，或系统已加密、或版权问题等原因无法更改也是WEB安全问题的重要原因。2.第三方内容成风险源第三方内容是现在网站编程里面经常采用的一个技术，网站的制作者会把本身网页里面嵌入一些第三方网站内容的“指针”。这些网页被客户端浏览器打开的时候，浏览器会根据这些指针去采第三方网站上面的内容，包括图片、文字、flash和一些动态脚本等等。攻击者利用这些内容源对目标进行攻击3.篡改Web系统数据攻击者通过SQL注入等门户网站应用程序漏洞获得网站系统权限后，可以进行网页挂马、网页篡改、修改数据等活动。黑客可以通过网页挂马，利用被攻击的网站作为后续攻击的工具，致使更多人受害；也可以通过网页篡改，丑化门户网站的声誉甚至造成政治影响；还也可以通过修改网站系统敏感数据，直接达到获取利益的目的。4.Cookie监听、Cookie投毒恶意用户通过对Cookie监听破译用户证书，篡改从服务器传送到浏览器的cookie数据。网站常常将一些包括用户ID、口令、账号等的cookie存储到用户系统上，通过改变这些值，恶意的用户就可以访问不属于他们的账户。二、服务设计XX单位规划了互联网DMZ区域，承载在WWW、FTP等外部应用，特别是web应用面临着上述一系列威胁，因此需要专业的WAF（web应用防火墙）抵御针对WEB的各类攻击行为。1.Web应用安全防护WAF需要防护基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、CGI扫描、间谍软件、灰色软件、网络钓鱼、漏洞扫描、SQL注入攻击及XSS攻击等常见的Web攻击；2.应用层DOS攻击防护WAF需要防护带宽及资源耗尽型拒绝服务攻击。XMLDoS攻击防护是对HTTP请求中的XML数据流进行合规检查，防止非法用户通过构造异常的XML文档对Web服务器进行DoS攻击；3.Web虚拟服务通过部署WAF来管理多个独立的Web应用，各Web应用可采用不同的安全策略，可在不修改用户网络架构的情况下增加新的应用，为多元化的Web业务运营机构提供显著的运营优势与便利条件；4.Web请求信息的安全过滤针对HTTP请求，WAF能够针对请求信息中的请求头长度、Cookie个数、HTTP协议参数个数、协议参数值长度、协议参数名长度等进行限制。对于检测出的不合规请求，允许进行丢弃或返回错误页面处理；5.Web敏感信息防泄露WAF应内置敏感信息泄露防护策略，可以灵活定义HTTP错误时返回的默认页面，避免因为Web服务异常，而导致的敏感信息（如：Web服务器操作系统类型、Web服务器类型、Web错误页面信息、银行卡卡号等）的泄露；6.Cookie防篡改WAF产品能够针对Cookie进行签名保护，避免Cookie在明文传输过程中被篡改。用户可指定需要重点保护的Cookie，对于检测出的不符合签名的请求，允许进行丢弃或删除Cookie处理，同时记录相应日志；7.网页防篡改WAF产品可按照网页篡改事件发生的时序，事中，实时过滤HTTP请求中混杂的网页篡改攻击流量（如SQL注入、XSS攻击等）；事后，自动监控网站所有需保护页面的完整性，检测到网页被篡改，第一时间对管理员进行告警，对外仍显示篡改前的正常页面，用户可正常访问网站；8.Web业务的连续性作为串行安全防护设备，WAF需要考虑了Web系统业务连续性保障措施，以有效避免单点故障；三、服务效果保障网络的可用性：以降低网络故障、网络攻击、不合规网络协议传输对Web应用的影响为目标，主要包含网络访问控制、代理模式部署、协议合规、应用层DoS防护等功能。保障Web应用的安全性：以Web安全防护为主要目标，主要包含HTTP/HTTPS应用防护、Web请求信息限制、Web敏感信息防护、Cookie防篡改、网页防篡改、Web应用防护事件库升级等功能。保障Web应用的快速访问：以Web应用交付为主要目标，主要包含SSL卸载、多服务器负载均衡、Web服务器访问质量监控等功能。第八节恶意代码防护整改一、需求分析恶意代码（病毒、蠕虫、木马等）防范历来是信息安全建设中的重要组成部分，当今恶意代码带来的安全隐患包括：1.信息被窃网络病毒在发作后常常在造成直接破坏的同时，还会释放后门程序，一旦重要服务器中毒，就有可能带来核心技术的泄漏，如果核心技术资料被敌对势力获取，将可能造成严重的后果。2.文件传播文件服务器是网络环境下文件储存和访问的主要应用服务器，由于内部通常会有大量的文件存储到服务器中，病毒极易通过文件复制的方式在服务器中传播、复制，大量的病毒入侵可以导致文件服务器功能下降或瘫痪，甚至可能导致重要文件的永久性被破坏。3.邮件传播电子邮件已成为病毒传播的最大载体，任一与外界有邮件往来的邮件服务器如果没有采取有效的病毒防护措施，极易受到攻击，并会导致病毒在企业内部网中快速传播。其实邮件服务器本身不会受到邮件病毒的破坏，只是转发染毒邮件至客户邮箱中，但是当客户机染毒并产生几何数量级的信件时，邮件服务器会由于在短时间内需转发大量邮件而导致性能迅速下降，直至宕机。4.客户机感染局域网中的工作站会受到病毒的感染，病毒的攻击方式多种多样，有通过Internet、局域网传播、U盘、移动硬盘传播等等，一旦客户机感染病毒，便会迅速传播到整个网络中，并且会给日常的工作带来极大的威胁。5.网络带宽阻塞高速传播和具有网络攻击能力的病毒，能占用有限的网络带宽，导致网络瘫痪。如：“ARP”就是典型导致网络瘫痪的病毒，能导致网络交换机、路由